Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Norcoreanos intentan robar la investigación de la vacuna COVID-19




Actores de amenazas como el notorio grupo Lazarus continúan aprovechando la investigación en curso de la vacuna COVID-19 para robar información confidencial y acelerar los esfuerzos de desarrollo de vacunas de sus países. Se confirma que un “servicio de inteligencia extranjero” lanzó el ciberataque a la Agencia Europea del Medicamento (EMA) a principios de diciembre, en el que accedieron a información sobre las vacunas de las farmacéuticas Pfizer/BioNTech y Moderna analizadas por esta organización


A medida que avanza la crisis de COVID-19, algunos actores de amenazas están tratando de acelerar el desarrollo de vacunas por cualquier medio disponible. Se han  encontrado evidencias de que actores, como el grupo Lazarus, están persiguiendo inteligencia que podría ayudar en estos esfuerzos al atacar entidades relacionadas con la investigación de COVID-19.

Al rastrear las campañas continuas del grupo Lazarus dirigidas a varias industrias, descubrimos que recientemente fueron tras entidades relacionadas con COVID-19. Atacaron a una empresa farmacéutica a fines de septiembre y durante la investigación se descubrió que también habían atacado un ministerio del gobierno relacionado con la respuesta al COVID-19. Cada ataque utilizó diferentes tácticas, técnicas y procedimientos (TTP), pero encontramos conexiones entre los dos casos y evidencia que vincula esos ataques con el notorio grupo Lazarus.

La firma de ciberseguridad Kaspersky detalló dos incidentes en una compañía farmacéutica y un ministerio del gobierno en septiembre y octubre aprovechando diferentes herramientas y técnicas, pero mostrando similitudes en el proceso posterior a la explotación, lo que llevó a los investigadores a conectar los dos ataques con los piratas informáticos vinculados al gobierno de Corea del Norte.



"Estos dos incidentes revelan el interés del grupo Lazarus en la inteligencia relacionada con COVID-19", dijo Seongsu Park, investigador de seguridad senior de Kaspersky. "Si bien el grupo es conocido principalmente por sus actividades financieras, es un buen recordatorio de que también puede buscar investigación estratégica".

Kaspersky no nombró a las entidades objetivo, pero dijo que la firma farmacéutica fue hackeada el 25 de septiembre de 2020, y que el ataque contra el Ministerio de Salud del gobierno ocurrió un mes después, el 27 de octubre.

En particular, el incidente en la compañía farmacéutica, que está involucrada en el desarrollo y distribución de una vacuna COVID-19, vio al grupo Lazarus desplegar el malware "BookCodes", utilizado recientemente en un ataque a la cadena de suministro de una compañía de software surcoreana WIZVERA para instalar herramientas de administración remota (RAT) en sistemas de destino.



El vector de acceso inicial utilizado en el ataque sigue siendo desconocido, pero se dice que un cargador de malware identificado por los investigadores carga el BookCodes RAT encriptado que viene con capacidades para recopilar información del sistema, recibir comandos remotos y transmitir los resultados de la ejecución a servidores de comando y control (C2) ubicados en Corea del Sur.

En una campaña separada dirigida al Ministerio de Salud, los piratas informáticos comprometieron dos servidores de Windows para instalar un malware conocido como "wAgent" y luego lo usaron para recuperar otras cargas útiles maliciosas de un servidor controlado por el atacante.

Al igual que en el caso anterior, los investigadores dijeron que no pudieron localizar el módulo de inicio utilizado en el ataque, pero sospechan que tiene una "función trivial" de ejecutar el malware con parámetros específicos, después de lo cual wAgent carga una DLL de Windows que contiene funcionalidades de puerta trasera directamente. en la memoria.

"Usando esta puerta trasera en la memoria, el operador de malware ejecutó numerosos comandos de shell para recopilar información de la víctima", dijo Park.

Independientemente de los dos grupos de malware empleados en los ataques, Kaspersky dijo que el malware wAgent utilizado en octubre compartía el mismo esquema de infección que el malware que el grupo Lazarus usó anteriormente en ataques a negocios de criptomonedas, citando superposiciones en el esquema de nombres de malware y mensajes de depuración. y el uso de Security Support Provider como mecanismo de persistencia.

El desarrollo es el último de una larga lista de ataques que aprovechan la pandemia del coronavirus, una tendencia observada en varios señuelos de phishing y campañas de malware durante el último año. Se alega que los piratas informáticos norcoreanos se han dirigido a empresas farmacéuticas en India, Francia, Canadá y AstraZeneca, con sede en el Reino Unido.

Kaspersky no reveló la identidad de la compañía farmacéutica comprometida en estos ataques, pero sí compartió que está involucrada en el desarrollo de una vacuna COVID-19 y que también está "autorizada para producir y distribuir vacunas COVID-19".

Si bien hay varias vacunas COVID-19 en desarrollo en este momento, solo las desarrolladas por estas organizaciones han alcanzado el estado de autorización / aprobación en los EE. UU., El Reino Unido, Rusia, China y otros países (por lo tanto, el objetivo debe estar entre ellos):

  • Pfizer-BioNTech
  • Moderna, Sinovac
  • el Instituto de Productos Biológicos de Wuhan
  • el Instituto de Investigación Gamaleya
  • el Instituto de Productos Biológicos de Beijing
  •  el Centro de Investigación Estatal de Virología y Biotecnología de la Institución Federal de Investigación Presupuestaria de Rusia

"Estos dos incidentes revelan el interés del grupo Lazarus en la inteligencia relacionada con COVID-19", agregó Park.

Amenazas digitales con temática de coronavirus

"Todos los países del mundo han visto al menos un ataque temático COVID-19", dijo Rob Lefferts, vicepresidente corporativo de Microsoft 365 Security. Estos ataques, sin embargo, representan menos del 2% de todos los ataques analizados por Microsoft a diario.

"Nuestros datos muestran que estas amenazas temáticas de COVID-19 son recauchutados de ataques existentes que han sido ligeramente alterados para vincularse a esta pandemia", agregó Lefferts. "Esto significa que estamos viendo un cambio de señuelos, no un aumento en los ataques".


1 - Malware móvil

Check Point Research descubrió al menos 16 aplicaciones móviles diferentes, que afirmaban ofrecer información relacionada con el brote, pero en su lugar contenían malware, incluido el adware (Hiddad) y los troyanos bancarios (Cerberus), que robaban la información personal de los usuarios o generaban ingresos fraudulentos de primas. servicios de tarifa.

"Los expertos en amenazas están explotando las preocupaciones de la gente sobre el coronavirus para difundir malware móvil, incluidos los troyanos de acceso remoto móvil (MRAT), los troyanos bancarios y los marcadores premium, a través de aplicaciones que afirman ofrecer información relacionada con el coronavirus y ayuda a los usuarios.

Las 16 aplicaciones en cuestión se descubrieron en dominios relacionados con el coronavirus de nueva creación, que han experimentado un gran aumento en las últimas semanas.


2 - Phishing de correo electrónico

En un informe separado publicado hoy y compartido con The Hacker News, la firma de ciberseguridad Group-IB afirma haber descubierto que la mayoría de los correos electrónicos de phishing relacionados con COVOD-19 venían con AgentTesla (45%), NetWire (30%) y LokiBot (8%). incrustado como archivos adjuntos, lo que permite al atacante robar datos personales y financieros.

Los correos electrónicos, que se enviaron entre el 13 de febrero y el 1 de abril de 2020, se hicieron pasar por avisos de salud de la Organización Mundial de la Salud, UNICEF y otras agencias y empresas internacionales como Maersk, Pekos Valves y CISCO.


3 - Malware comercial con descuento


La investigación de Group-IB también encontró más de 500 publicaciones en foros clandestinos donde los usuarios ofrecían descuentos por coronavirus y códigos promocionales en DDoS, spam y otros servicios de malware.

Esto es consistente con los hallazgos anteriores de Check Point Research sobre los piratas informáticos que promocionan sus herramientas de explotación en la red oscura con 'COVID19' o 'coronavirus' como códigos de descuento.

4 - Phishing por SMS


La Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA) y el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) también emitieron un aviso conjunto sobre mensajes SMS falsos de remitentes como "COVID" y "UKGOV" que contienen un enlace a sitios de phishing.

"Además de los SMS, los posibles canales incluyen WhatsApp y otros servicios de mensajería", advirtió CISA.


5 - Estafas de mascarillas faciales y desinfectantes para manos

Europol arrestó recientemente a un hombre de 39 años de Singapur por supuestamente intentar lavar dinero en efectivo generado por una estafa por correo electrónico comercial (BEC) haciéndose pasar por una empresa legítima que anunciaba la entrega rápida de mascarillas quirúrgicas FFP2 y desinfectantes para manos.

Una empresa farmacéutica no identificada, con sede en Europa, fue defraudada con 6,64 millones de euros después de que los artículos nunca se entregaron y el proveedor se volvió incontactable. Europol había incautado anteriormente 13 millones de euros en medicamentos potencialmente peligrosos como parte de una operación de tráfico de medicamentos falsificados.


6 - Software malicioso


A medida que las personas trabajan cada vez más desde el hogar y las plataformas de comunicación en línea como Zoom y Microsoft Teams se vuelven cruciales, los actores de amenazas envían correos electrónicos de phishing que incluyen archivos maliciosos con nombres como "zoom-us-zoom _ ###########. exe "y" microsoft-teams_V # mu # D _ ##########. exe "en un intento por engañar a las personas para que descarguen malware en sus dispositivos.

7 - Ataques de ransomware


La Organización Internacional de Policía Criminal (Interpol) advirtió a los países miembros que los ciberdelincuentes están intentando atacar a los principales hospitales y otras instituciones en la primera línea de la lucha contra COVID-19 con ransomware.

"Los ciberdelincuentes están utilizando ransomware para mantener como rehenes a hospitales y servicios médicos, lo que les impide acceder a archivos y sistemas vitales hasta que se pague un rescate", dijo Interpol.

"Los actores cibernéticos maliciosos están continuamente ajustando sus tácticas para aprovechar nuevas situaciones, y la pandemia de COVID-19 no es una excepción", dijo CISA.

"Los actores cibernéticos malintencionados están utilizando el gran apetito por la información relacionada con COVID-19 como una oportunidad para entregar malware y ransomware, y para robar las credenciales de los usuarios. Las personas y las organizaciones deben permanecer alerta".

El NCSC ha ofrecido orientación sobre qué tener en cuenta al abrir correos electrónicos y mensajes de texto con temas de coronavirus que contienen enlaces a sitios web falsos.

En general, evite hacer clic en enlaces en correos electrónicos no solicitados y desconfíe de los archivos adjuntos de correo electrónico, y no haga públicas las reuniones y asegúrese de que estén protegidas por contraseñas para evitar secuestros en videoconferencias.


Fuentes:

https://thehackernews.com/2020/12/north-korean-hackers-trying-to-steal.html

https://us-cert.cisa.gov/ncas/alerts/aa20-099a


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.